德國凱澤斯勞滕大學遭到勒索軟體攻擊
德國凱澤斯勞滕大學在 6 月 8 日發生勒索軟體攻擊後正在努力恢複服務。該事件影響了該大學的整個 IT 基礎設施,該機構已警告員工和學生不要打開筆記本電腦等商業 IT 裝置或工作站。雖然大學設法恢複了電話通信,但所有線上服務仍然不可用。
GravityRAT 間諜軟體針對 Android 裝置上的 WhatsApp 備份
ESET 報告說,新的 Android 版本的GravityRAT間諜軟體能夠竊取 WhatsApp 備份檔案并接收删除檔案的指令。該惡意軟體使用流行應用程式的木馬化版本進行傳播。
Strava 健身追蹤應用程式洩露使用者位置資訊
北卡羅來納州立大學的學者發表了一篇研究論文,證明攻擊者可以使用 Strava 健身追蹤應用程式的熱圖功能來識别偏遠地區高度活躍使用者的家庭住址。作為一種選擇退出功能,熱圖旨在将使用者活動匿名聚合在一張地圖中,以幫助他們找到活躍的足迹和熱點。
FBI 稱 BEC 詐騙損失超過 500 億美元
FBI 更新了其關于商業電子郵件洩露和電子郵件賬戶洩露 (BEC) 詐騙的報告(PDF),将估計損失彙總到 500 億美元以上。在美國,受害者總數已超過 20 萬人,報告的損失超過 300 億美元。
福克斯主教釋出 2023 年進攻性安全狀況報告
Bishop Fox 釋出了其2023 年進攻性安全狀況報告,其中顯示了紅隊部署的激增。一項針對 700 名 IT 和安全從業者的調查顯示,64% 的人正在使用紅隊,超過一半的人計劃在未來 12-24 個月内增加投資。
Infoblox 檢查相似攻擊
Infoblox 對攻擊者使用視覺上相似的域名作為網絡釣魚攻擊的組成部分的方式進行了詳細檢查。一個簡單的例子表明沒有人能幸免:該公司未注冊的相似 Infoblox 域的例子。lnfoblox[.]com (homoglyph) 使用小寫的“L”來模拟大寫的“i”;infobloxbenifits[.]com(簡單的錯别字);infoblox[.]info (TLD squat) 使用不同的頂級域字尾;infobloxgrid[.]com (combosquat) 結合了公司名稱和公司的主要産品。
網絡安全意識法案
新出台的兩黨立法要求國土安全部 (DHS) 定期向公共和私營部門提供與網絡安全相關的最佳實踐指導,同時確定網絡安全和基礎設施安全局 (CISA) 擴大與經常成為勒索軟體目标的實體的聯系,例如小型企業和服務欠缺的社群。
谷歌為 Linux 核心漏洞支付了 180 萬美元
谷歌表示,作為 kCTF 漏洞獎勵計劃 (VRP) 的一部分,它已為收到的 Linux 核心漏洞利用報告支付了總計 180 萬美元,該計劃于 2020 年啟動。超過 60% 的送出針對“io_uring”元件和谷歌中的漏洞已在其伺服器和 Chrome 作業系統中禁用該元件,并限制其在 Android 和 GKE AutoPilot 上的使用。
核心漏洞利用送出現在以名稱 kernelCTF 處理,因為網際網路巨頭正在将重點從 Google Kubernetes Engine (GKE) 和 kCTF 轉移到最新的穩定核心和包含的緩解措施。有效報告的最高總支出仍為 133,337 美元。
歐洲議會投票贊成人工智能法案
盡管上周對歐盟人工智能法案的未來表示擔憂,但歐洲議會還是以 499 票對 28 票、93 票棄權投了贊成票。細節仍需得到歐洲理事會(代表各國政府)和歐盟委員會的同意——而且雙方可能會有所抵制;例如,在警務領域。就目前而言,法律主要關注人(隐私和個人權利),可能禁止諸如情緒檢測和預測性警務等領域。它還提高了人工智能資料内容的透明度;例如,限制使用版權材料。該法案與谷歌的SAIF提案形成對比:前者專注于内容,而後者專注于技術。
量子來源的随機數
Quantinuum 的Quantum Origin Onboard為邊緣和物聯網裝置使用的目前加密技術帶來了量子增強型密鑰生成。它采用來自 Quantinuum H 系列量子計算機的真随機數的生成和傳遞。量子種子嵌入到裝置中,提高了生成強而安全的密鑰的能力。它不需要對現有的加密軟體進行任何更改,但提高了加密的安全性。
AWS 從 Amazon API Gateway 中删除 HTTP 标頭重新映射
6 月 14 日,在Omegapoint 發現并報告了一個邊緣案例問題和授權緩存缺陷後,Amazon Web Services (AWS)從 Amazon API Gateway 中删除了 HTTP标頭重新映射。基于速度模闆語言 (VTL) 的轉換仍然可用于标頭重新映射,因為它不受這些缺陷的影響。
Dragos 啟動全球合作夥伴計劃
工業網絡安全公司 Dragos 推出了一項全球合作夥伴計劃,其中包括 OT 安全服務、技術和威脅情報。合作夥伴還接受教育訓練,使他們能夠為客戶提供評估服務。